De gemeentelijke informatievoorziening blijft kwetsbaar en digitale dreigingen ontwikkelen zich voortdurend. Hoewel het aantal incidenten niet significant is toegenomen, zien we wel een ontwikkeling in het dreigingslandschap. Kunstmatige intelligentie (AI) speelt namelijk een steeds grotere rol. Cybercriminelen maken steeds vaker gebruik van AI-gestuurde technieken, voor bijvoorbeeld slimmere phishing campagnes. Dit vraagt om een voortdurende aanscherping van onze beveiligingsmaatregelen en bewustwording.
We zijn gestart met de voorbereidingen voor de implementatie van de Cyberbeveiligingswet (NIS2-richtlijn) en de nieuwe versie van de Baseline Informatiebeveiliging Overheid (BIO2). Tegelijkertijd kijken we nu ook al kritisch naar de veiligheid en betrouwbaarheid van AI-modellen die we (mogelijk) willen gebruiken.
Ons beleid voor Bedrijfscontinuïteitsbeheer (BCM) is nagenoeg gereed. Dit betekent dat de basisprincipes, rollen en verantwoordelijkheden helder zijn gedefinieerd. Daarnaast zijn de kritische bedrijfsprocessen expliciet benoemd en zijn de belangrijkste dreigingsscenario’s in kaart gebracht. Vaststelling van het beleid staat gepland voor het eerste kwartaal van 2025.
Voor het eerst is een TPM-verklaring afgegeven over de ICT-dienstverlening van het Shared Service Center (SSC), op basis van een onafhankelijke audit. Deze verklaring is opgesteld aan de hand van de ENSIA-vragenlijst. De audit is uitgevoerd volgens assurancecriteria die toetsen op de opzet (formele vastlegging), het bestaan (daadwerkelijke toepassing) en de werking (herhaaldelijke toepassing over een relevante periode) van beheersmaatregelen die van belang zijn voor de ICT-dienstverlening aan gemeente Waadhoeke.
Uit de TPM-verklaring blijkt dat de inrichting van de ICT-dienstverlening op het merendeel van de onderdelen (circa 85%) voldoet aan de gestelde eisen. Tegelijkertijd bevat de verklaring een aantal belangrijke constateringen: op elf punten wordt (nog) niet voldaan aan de norm. In een aantal gevallen gaat het om onderdelen die in de praktijk wel worden uitgevoerd – bijvoorbeeld op basis van handboeken of werkprocessen – maar waarvoor formeel beleid, structurele toetsing of eenduidige vastlegging ontbreekt. Hierdoor is het risicobeeld beperkt, maar voldoet de inrichting formeel niet aan de gestelde normen binnen het toetsingskader.
Het SSC is gestart met het treffen van verbetermaatregelen. De CISO van gemeente Waadhoeke volgt deze trajecten actief en onderhoudt nauw contact met de CISO van het SSC over de voortgang van de implementatie.
Het doorlopende bewustwordingsprogramma blijft effect hebben: de actieve deelname aan het programma Arda nam toe naar 85%. Dit zien we terug in het gedrag van medewerkers, bijvoorbeeld in een toename van meldingen en een verbeterd risicobewustzijn. Tegelijkertijd blijft er altijd ruimte voor verbetering, en blijven we actief sturen op verdere bewustwording.
We hebben wederom de jaarlijkse ENSIA zelfevaluatie uitgevoerd, waarbij een externe auditor heeft getoetst of we voldoen aan de normen van de BIO. Daarnaast zijn de specifieke audits voor DigiD en Suwinet uitgevoerd. We hebben deze toetsingen zonder kanttekeningen doorstaan, wat bevestigt dat onze informatiebeveiligingsmaatregelen voldoen aan de geldende eisen. Het college verantwoordt zich hierover in de Collegeverklaring ENSIA inzake informatiebeveiliging, DigiD en Suwinet.